Что означают эти спорадические потоки 301 записей журнала GET?
У меня есть новый веб-сервер CentOS7, на котором работает virtualmin. На нем размещен новый сайт WordPress, который только что был запущен в производство.
Начиная с полудня сегодня, с четверти часа до секунды, я устраняю пики нагрузки на сервер. В разное время, но чаще всего во время этих всплесков, файл access_log заполняется сотнями таких записей:
50.84.83.122 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
50.79.197.249 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
12.147.195.3 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
207.91.154.164 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
173.241.65.202 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
12.19.212.186 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
71.78.224.10 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
208.69.145.81 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
Я не могу сказать, являются ли эти записи причиной или результатом всплесков нагрузки на сервер или чем-то еще. Недостаток данных пользовательского агента также вызывает недоумение.
Я исключил wp-cron.php как виновника (отключенные cron и скачки по-прежнему происходят, запускаются вручную, скачки не возникают).
Я удалил все настраиваемые параметры. 301 редирект в моем файле .htaccess, отключил плагин 301 редиректа, все равно получаю записи. На данный момент единственное перенаправление осуществляется через общие настройки WordPress, где у меня есть https://example.com в качестве URL-адресов WordPress и сайта.
Что означают эти записи и как они связаны с резкими скачками нагрузки на сервер?
Изменить: добавление - если я ищу эти IP-адреса в остальной части журнала доступа, они содержат только эти повторяющиеся 301 запись (все те, которые я проверял, - каждые несколько секунд или минут в течение более 48 часов) и никаких запросов на другие веб-страницы. Я почти думаю, что это нападение? Это имело бы смысл? На этом сервере есть два других сайта (тот же IP, другой SNI), которые имеют нормальные журналы без 301 флуда. Я проверил IP-адреса, чтобы убедиться, что они находятся в черных списках, и они вернулись чистыми.
Это DDoS-атака.
С помощью консультанта по безопасности мы выявили и предотвратили атаку ботов на одном веб-сайте. Для справки в будущем, если у кого-то есть подобная проблема, эти записи httpd были лишь одной подсказкой. То, что IP-адреса никогда не запрашивали другую страницу, что журналы с предыдущего хоста имели похожие записи, анализ журналов DNS, а также глубокий анализ журналов httpd и многое другое, все привело к такому выводу. Атака смягчена на сетевом уровне.